Segundo a norma NBR ISO/IEC 17799:2000, uma política de segurança deve:

1. ser aprovada pela gerência, publicada e divulgada entre todos os empregados da empresa.

2. declarar o comprometimento da gerência, apoiando os objetivos e princípios da segurança da informação.

3. conter uma relação simplificada das falhas que foram detectadas na etapa de avaliação de riscos.

4. sofrer um mínimo de alterações possíveis ao longo do tempo, não sendo sensível a mudanças na infra-estrutura organizacional.

Podemos afirmar que está (ão) correta(s) as afirmativas: